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(54) PROCEDE DE CRYPTOGRAPHIE A CLE PUBLIQUE BASE SUR LE LOGARITHME DISCRET. 



(57) L'invention conceme un procede de cryptographie a 
ob\ publique base sur le logarithme discret faisant intervenir 
le calcul de la grandeur G k modp. 

Selon l'invention, deux solutions sont proposees afin de 
reduire le nombre de multiplications, Tune consistant a ge- 
nerer des exposants k "creux" avec peu de bits a 1 , mais 
de longueur suffisante pour garder toute la sec u rite au sys- 
tem e, et I'autre consistant a realiser les calculs des puis- 
sances de g en parallele tout en combinant les exposants 
entre-eux de maniere a ne pas refaire deux fois le meme 
calcul de puissance pour un exposant donne. 

L'invention s'applique a la generation de signatures nu- 
meriques, a I'authentification, au chiffrement. 
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PROCEDE DE CRYPTOGRAPHIE A CLE PUBLIQUE 
BASE SUR LE LOGARITHME DISCRET 

La presente invention a pour objet un procede de 
cryptographie dite a cle publique base sur le 
logarithme discret faisant intervenir le calcul d'une 
grandeur modulo p. 
5 Elle trouve une application dans la generation de 

signatures numeriques de messages, dans une cession 
d'authentif ication entre deux entites ou dans le 
chiffrement de donnees. 

Dans de telles procedures, la securite est fondee 
10 sur l'extreme difficulty qu'il y a a inverser certaines 
fonctions et plus particulierement le logarithme 
discret. 

Ce probleme consiste, etant donne la relation 
mathematique y = g x modulop que l'on notera par la suite 

15 y = g x modp (qui signifie y est le reste de la division 
de g x par p) , a retrouver x lorsque l'on connait p, g 
et y. Ce probleme est impossible a resoudre, en l'etat 
actuel des connaissances , des que la taille p atteint 
ou depasse 512 bits et que celle de x atteint ou 

20 depasse 128 bits. 

Dans de tels systemes, il existe en general une 
autorite qui fournit le nombre p de grande taille, 
constituant le module. L' autorite choisit egalement un 
entier g, appele base tel que 1 ' ensemble engendre par g 

25 c'est-a-dire 1' ensemble forme des nombres g x modp, pour 
x appartenant a l'intervalle [0, p-1] ' soit un sous- 
ensemble de taille maximale, au moins 2 128 . 

Les parametres p et g sont dits "publics" c ' est-a- 
dire qu'ils sont fournis par 1' autorite a tous les 

30 utilisateurs rattaches a cette autorite. 



2734679 



2 



Selon certaines variantes, ces parametres sont 
choisis individuellement par chaque utilisateur et 
font, dans ce cas, partie integrante de sa cle 
publique. 

5 Un inconvenient majeur a la raise en oeuvre de 

systemes cryptographiques reside dans la necessite 
d' avoir des moyens de calcul et de memorisation 
relativement importants du fait des calculs complexes 
qui sont realises. 

10 En effet, le calcul de la grandeur g^modp consiste 

a realiser des multiplications modulaires et cela est 
cotLteux en temps de calcul et en place memoire. Dans 
des dispositifs electroniques simples n'utilisant que 
des microprocesseurs standards, ce type d ' operation 

15 n'est guere realisable. 

Pour des dispositifs electroniques possedant un 
processeur specialise pour ce type de calcul, il est 
malgre tout souhaitable de limiter, le temps de calcul 
et la place memoire necessaire pour les resultats 

20 intermediaires . 

En effet, le calcul de la grandeur g k modp est en 
general relativement cotlteux par la methode classique 
du "carre-multiplie" connue sous 1'abreviation anglo- 
saxonne SQM (Square-Multiply) puisqu'il equivaut en 

25 moyenne a 3/2 Log 2 (p) multiplications. 

Selon cette methode on calcule toutes les 
puissances de g c'est a dire tous les carres : g° , g 1 , 
g 2 ...g n , lorsque k est de longueur n bits, puis on 
realise les multiplications requises entre ces 

30 puissances ( par exemple g 17 = g^g 16 ) . 

Selon la methode du "carre multiplie" simple g k 
requiert n/2 multiplications et n carres. 
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Dans le cas ou N signatures sont a fournir en une 
seule fois, on produit Ng^, on realise alors un calcul 
en parallele. 

La methode du "carre-multiplie" parallele requiert 
5 Nx n/2 multiplications et n carres. 

Une methode proposee par E. BRICKELL et al. 
denommee par 1 ' abreviation BGKW permet de reduire le 
nombre de multiplications dans le cas de la methode du 
carre-multiplie mais introduit un besoin de stockage de 
10 nombreuses constantes precalculees et done la necessite 
de disposer d'une quant ite de memoires de stockage tres 
penalisante. 

L' introduction d'un calcul en parallele de N 
valeurs dans cette methode implique 1 ' utilisation de 
15 nombreux registres pour conserver les resultats 
intermediaires . 

Cette methode devient done plus contraignante dans 
le cas oil l'on se trouve dans une situation oil il 
s'agit de generer un grand nombre de signatures en un 
20 temps tres bref puisque dans ce cas le calcul en 
parallele est introduit. 

La presente invention a pour objet de remedier a 
tous ces inconvenients . Elle permet d'apporter une 
25 solution souple et peu onereuse en temps de calcul et 
en place memoire a la mise en oeuvre d'algorithmes 
cryptographiques pour tous systemes de cryptographie et 
en particulier par des appareils portables du type 
carte a puce a microprocesseur . 

30 

Selon un premier objet de 1' invention, le procede 
de cryptographie propose permet de reduire le nombre de 
multiplications modulaires de fagon telle que l'on 
obtienne des gains en temps de calcul de 15 a 40% et 
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plus selon les schemas de cryptographie utilises 
(Schnorr ou El Gamal) . 

Selon 1' invention, deux solutions sont proposees 
afin de reduire le nombre de multiplications, l'une 
5 consistant a generer des exposants k "creux" avec peu 
de bits a 1, mais de longueur suffisante pour garder 
toute la securite au systeme, et 1' autre consistant a 
realiser les calculs des puissances de g en parallele 
tout en combinant les exposants entre eux de maniere a 

10 ne pas refaire deux fois le meme calcul de puissance 
pour un exposant donne. 

L' invention a plus particulierement pour objet un 
procede de cryptographie a cle publique base sur le 
logarithme discret faisant intervenir le calcul de la 

15 grandeur q k modp oil p est un nombre premier appele 
module, k un nombre aleatoire habituellement de 
longueur n bits et g un entier appele base, dans lequel 
une entite E realise des operations d' authentif ication 
et/ou de signature et/ou de chiffrement, comprenant des 

20 echanges de signaux avec une autre entite dans lesquels 
intervient cette grandeur, caracterise en ce qu'il 
comporte les etapes suivantes pour 1' entite : 

- generer un exposant k aleatoire de longueur N 
bits, N etant egal a n+b bits, 

25 - calculer le poids de Hamming C de cet exposant et 

le comparer a une valeur h fixee au prealable, 

- verifier si la valeur aleatoire k remplit la 
condition C > h 

- rejeter la valeur aleatoire k dans le cas ou le 
30 poids de Hamming est inferieur a h et recommencer la 

generation de nouveaux exposants jusqu'a l'obtention 
d'un exposant satisfaisant cette condition, 

- ou conserver cette valeur dans le cas contraire, 
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- calculer 1 ' expression g^modp a partir de la 
valeur conservee, 

- utiliser cette expression dans un echange de 
signaux electroniques avec 1 ' autre entite. 

5 

L' invention a egalement pour objet un procede de 
cryptographie a cle publique base sur le logarithme 
discret faisant intervenir le calcul de la grandeur 
g^modp oCl p est un noinbre premier appele nodule, k un 

10 notnbre aleatoire habituellement de longueur n bits et g 
un entier appele base, dans lequel une entite E realise 
des operations d' authentif ication et/ou de signature 
et/ou de chiffrement, comprenant des echanges de 
signaux avec une autre entite dans lesquels 

15 interviennent plusieurs grandeurs de ce type, 
caracterise en ce qu'il comporte les etapes suivantes 
pour 1' entite : 

- generer un ensemble d' exposants aleatoires kj de 
n bits de poids a^ s'exprimant par 1' expression : 

20 kj = Za i 2 i 

- calculer en parallele les puissances de ^2^ tout 
en combinant les exposants de sorte que les puissances 
de g deja calculees pour un exposant servent a d'autres 
exposants dans lesquels elles interviennent, 

25 - pour chaque kj donne, calculer les puissances de 

g non encore calculees et regrouper toutes ces 
puissances pour obtenir 1' expression g k J modp desiree, 

- utiliser ces expressions dans un echange de 
signaux avec 1' autre entite. 

30 

Selon un premier mode de realisation les etapes de 
calcul en parallele et de regroupement comportent les 
operations suivantes : 
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- combiner les exposants deux par deux pour obtenir 
des exposants k c reflet de leur parties communes et 
reiterer les combinaisons sur le resultat de 
combinaison obtenu , 

5 - calculer des grandeurs pour chaque valeur de 

k c telle que : 

G kc = g kc modp 

- combiner un exposant kj a 1' exposant k c obtenu 
pour la combinaison a laquelle cet exposant appartient 

10 de maniere a eliminer les parties communes et ne 
conserver que les parties differentes, 

- definir des exposants k'j reflet des parties 
differentes entre un exposant kj donne et un exposant 
k c donne, 

15 - calculer des grandeurs G^/j telles que : 

G k ,j = g^'lmodp 

- determiner les expressions G k jmodp en operant des 
multiplications entre les grandeurs Gk c obtenues a 
chaque iteration. 

20 

Dans un deuxieme mode de realisation, les etapes de 
calcul en parallele et de regroupement comportent les 
operations suivantes : 

- combiner les exposants entre-eux de maniere a 
25 former tous les sous-ensembles de combinaisons 

possibles d' exposants possedant des parties communes, 

- definir des exposants k c reflet des parties 
communes, pour chaque sous-ensemble de combinaison tels 
que les bits non-nuls de poids donne correspondent aux 

30 bits non-nuls de meme poids de la combinaison 
consideree, 

- calculee des grandeurs G^ pour chaque valeur de 
k c telles que : G kc = g kc modp 
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- combiner chaque exposant kj avec tous les 
exposants k c obtenus pour chaque sous-ensemble de 
combinaison auquel cet exposant kj appartient de 
maniere a eliminer les parties communes et ne conserver 

5 que les parties differentes, 

- definir des exposants k'j reflet des parties 
differentes entre un exposant kj donne et un exposant 
k c donne, 

- calculer des grandeurs G k ,j telles que : 

10 G k ' j =gk ' ^ mod P 

- determiner les expressions g k Dmodp en operant une 
multiplication entre les grandeurs G'^j et Gj cc pour 
chaque k j . 

Selon un autre ob j et de 1 ' invention , les 
15 combinaisons permettant d'obtenir les parties communes 
entre les exposants sont realises par des jonctions 
logiques "ET". 

Selon un autre objet de 1' invention, les 
combinaisons permettant d / obtenir les parties 
20 differentes sont realisees par des fonctions logiques 
"OU-exclusif "• 

D'autres particularites et avantages de 1 ' invention 
apparaitront a la lecture de la description qui est 
faite et qui est donnee a titre d'exemple illustratif 
25 et non limitatif et en regard des dessins qui 
representent : 

- la figure 1, un schema de principe d'un systeme 
apte a mettre en oeuvre 1' invention, 

- la figure 2, un schema fonctionnel representant 
30 les etapes essentielles du procede dans une premiere 

application, 

- la figure 3, un schema fonctionnel representant 
les etapes essentielles du procede dans une deuxieme 
application selon un premier mode de realisation, 
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- la figure 4, un schema fonctionnel, representant 
les etapes essentielles du procede dans la deuxieme 
application, selon un deuxieme mode de realisation, 

On a represents sur la figure 1, un schema de 
5 principe d'un systeme de mise en oeuvre du procede de 
cryptographie objet de 1' invention. 

Ce systeme est formee d'une entite El desirant 
effectuer des echanges de signaux electroniques avec au 
moins une autre entite E2 . les deux entites sont munies 

10 respectivement d'une unite de traitement (CPU) 11 , 30, 
d'une interface de communication, d'une memoire vive 
(RAM) 13, 32 et/ou d'une memoire non inscriptible (ROM) 
14, 34 et/ou d'une memoire non volatile inscriptible ou 
reinscriptible (EPROM ou EEPROM) 15, 3 3 et un bus 

15 d'adresses, de donnees, de controle 16, 35. 

L' unite de commande de traitement et/ou la ROM 
contiennent des programmes ou des ressources de calcul 
correspondant a 1' execution des etapes de calcul 
intervenant dans le procede objet de 1' invention, 

20 c'est-a-dire lors d'une session d'authentif ication ou 
lors de la generation d'une signature electronique ou 
lors du cryptage de signaux electroniques a transmettre 
a 1' autre entite. 

L'unite de traitement ou la ROM possedent les 

25 ressources necessaires a des multiplications, additions 
et reductions modulaires. 

De meme que l'unite de traitement et/ou la ROM 
comportent les fonctions de cryptographies utilisees 
propres a chaque algorithme de cryptographie et les 

30 parametres g et p. Les exposants kj pourront etre 
charges au prealable dans une memoire reinscriptible 
par l'autorite ou, generes au fur et a mesure a partir 
d'un generateur aleatoire et d'une valeur aleatoire 
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source ko secrete. L' entite El possede en outre la cle 
secrete x. 

L' invention s' applique tout particulierement aux 
systeme a cryptographie mis en place dans le domaine 
5 bancaire oil une grande securite est requise lors de 
transactions operees sur les comptes. C'est aussi le 
cas ou l'on desire authentifier 1' envoi de messages 
transmis sous forme de signaux electroniques d'une 
autre entite. C'est aussi le cas oH l'on a besoin de 
10 signer des messages lors d'echanges de signaux avec une 
autre entite. 

En pratique, 1' entite desireuse de realiser une 
transaction pourra etre, par exemple, une carte a 
circuit integre telle qu'une carte a puce et 1' entite 
15 destinatrice sera alors un terminal bancaire. 

La suite de la description va etre faite dans le 
cadre de 1' application du procede a la signature de 
messages numeriques, etant bien entendu que 1 ' invention 
s' applique a tout systeme de cryptographie base sur un 
20 algorithme discret. 

Le procede selon 1 ' invention propose une premiere 
solution pour diminuer considerablement le nombre de 
multiplications particulierement adapte au cas ou l'on 

25 a un environnement o\X la place memoire est faible. 

Dans ce cas, le principe est de produire des 
exposants kj "creux" en ce sens que le poids de Hamming 
sera choisi le plus faible possible, tout en conservant 
bien entendu le caractere aleatoire a ces exposants. 

30 Pour cela, le procede consiste a generer des 

exposants kj so it au fur et a mesure du besoin soit au 
prealable a tout echange. Bien sur dans ce cas, ils 
seront memorises. Les exposants generes n'ont pas une 
longueur de n bits ma is une longueur super ieure n+b 
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bits et remplissent une condition definie dans la 
suite. 

Lorsqu'un exposant k de n+b bits est genere le 
procede consiste ensuite a calculer le poids de Hamming 
5 C de cet exposant puis a le comparer a une valeur h 
fixee au prealable. 

Si a 1' issue de la comparaison C>h alors 1' exposant 
est retenu et va etre utilise par l'entite qui va alors 
calculer 1 'expression g^modp et utiliser cette 
10 expression dans 1' envoi de signaux numeriques dans 
lesquels cette expression sera utilisee comme signature 
par exemple. 

Dans le cas ou le parametre C ne remplit pas la 
condition requise, 1' exposant k correspondant est 
15 rejete, un nouvel exposant est genere, l'etape de 
verification de la condition est recommencee jusqu'a 
obtention d'un exposant k remplissant cette condition. 

Ainsi cette solution permet d' avoir a realiser 
moins de multiplication tout en conservant le meme 
20 niveau de securite que si 1'on avait des exposants de 
taille plus reduite. 

Selon un exemple particulier, permettant de reduire 
au maximum le nombre de multiplications on choisira 
C = h. 

25 En pratique, pour un exposant de taille n + b bits 

(avec n = 1°<?2 p ) dont le poids de Hamming est h, pour 

avoir le meme nombre de combinaisons que lorsque 1' 
exposant est de n bits, alors les relations suivantes 
doivent etres verifiees : 
30 2" < C h n+b 

et( N + b) /2 + h < n (condition qui permet de 
reduire le nombre de calcul a effectuer) . 

c'est a dire 2 n < (n+b) !/ (n + b - h) ! h! 
et 
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b+2h < n 

Les nombres b et h que 1'on se fixe sont obtenus en 
resolvant cette double inequation pour un n donne 
(n=160 par exemple) . 
5 A titre illustratif les resultats du procede selon 

1' invention ont ete compares aux methodes connues. 

Dans le cas de l'algorithme de Shnorr oil n = 160 
bits, et dans le cas de l'algorithme de El Gamal oil 
n = 512 bits. Ces resultats sont indiques dans le 
10 tableau ci-dessous. 



variant o 
effort 0 


Schnorr 


El Gamal 
Temps de 
calcul 


El Gamal 
Espace de 
memo ire 


multiplications 


62 (h) 


187 (h) 


199 (h) 


CARRE 


87 (b=15) 


279 (b=52) 


273 (b=35) 


EFFORT 


149 


469 


472 


GAIN 


6,8% 


9,4% 


7,8% 



20 La contrainte mise sur 1' espace des signatures 

couvert par des exposants de n bits peut etre reduite 
par un facteur a dependant du niveau de securite que 
1'on desire obtenir. 

Les parametres n, h et b doivent alors remplir la 
25 condition (1) 

(1) 2 n " a < (n+ b) ! / (n+b-h) !h! 

tout en conservant la possibility de generer les 
memes signatures a partir de differents aleas de taille 
(n + b) bits. 

30 En pratique 2 80 est assez pour contrer les 

differentes attaques possibles et done n-a = 100 est 
une valeur tout a fait acceptable. 
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variant <=> 
ettort o 


Exposant 

creuse 

temps 

de calcul 


Expossant 
creux 
place 
memo ire 


carre- 

multiplie 

simple 


multiplications 


37(h) 


49 (h) 


n/2 


carres 


n/2+7 
(b=14) 


n/2+2 
(b=4) 


n/2 


Total 


n/2+44 


n/2+51 


n 



10 

Cette var iante d ' execution est d ' autant plus 
interressante que le coQt (en temps de calcul) d'un 
carre est souvent moindre que celui d'une 
multiplication modulaire. 
15 En general on obtient : 

s/2 < m < s, s etant le nombre de carres a calculer 
et m le nombre de multiplications, les deux cas 
extremes etant m = s et m = 2s. 

On a represents des resultats comparatifs pour ces 
20 deux cas extremes dans le tableau suivant : 



variants 
effort £ 


exposant 
creux 
temps de 
calcul 


exposant 

creux 
place 
memoire 


carre 

multiplie 

simple 


GAIN 


Schnorr 
(m=2s) 


124 


131 


160 


22.5% 


El Gamal 
(m=2s) 


300 


307 


512 


41% 


Schnorr 
(m=s) 


204 


211 


240 


15% 



13 
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El Gamal 


556 


563 


728 


24% 


(m=s) 











On constate que le gain obtenu lorsque l'on 
applique le procede aux schemas de Shnorr et El Gamal 
est tres important par rapport a la methode du carre- 
5 multiplie simple et meme dans le cas oH l'on considere 
que le coQt d'un carre est le meme que celui d'une 
multiplication . 

Selon un autre mode de realisation, le procede 
10 s' applique tout particulierement a des systemes n'ayant 
pas de contrainte particuliere concernant la place 
memoire. 

Dans ce mode de realisation, on procede au calcul 
des differentes puissances de g en parallele afin de ne 
15 calculer les carres qu'une seule fois, tout en 
combinant les exposants afin de ne pas effectuer 
plusieurs fois le meme calcul. 

Pour bien comprendre 1' invention, on va deer ire le 
cas oil l'on a effectue le calcul de deux puissances. 
20 soit kj = Xa^i, kj etant tire aleatoirement 

(e'est-a-dire genere a partir d'un generateur 
aleatoire) 

soit k k = Kj = Zb i 2 i 

Selon le procede on combine les exposants kj et k^ 
25 de maniere a definir un exposant k c tel que : 

k c = Ia^b^2 : '- reflete des parties communes entre kj 
et k^. Les coefficients a^ sont, soit 1 soit 0. 

L' exposant k c correspond a la partie commune des 
exposants kj et k k e'est-a-dire si kj = 1 x 2 10 + ... + 
30 0 + 1 x 2° et k R = 1 x 2 10 + 0 + 0 ... +1x2° 
k c = 1 x 2 10 + 0 + ... + 1 x 2°. 



2734679 



14 



Selon le procede on determine done ainsi l'exposant 
k note k c . au moyen d'une fonction logique ET\ 

On procede ensuite a une deuxieme combinaison 
consistant a determiner les parties distinctes entre 
5 l'exposant k- et l'exposant k^. On recherche egalement 
les parties distinctes entre l'exposant k k et 
1'exposant k c * 

On va noter kj © k c et k^ © k c ces combinaisons qui 
sont realisees pour des OU-exclusif s . 
10 On calcule en parallele les grandeurs suivantes : 

G kj = gkj © *c modp 

G kk = ^ kk ® kc modp 
G kc = g kc modp 
Pour obtenir g^jmodp et G^modp il suffit de 
15 realiser les operations : 

1) G k j x Gk c modp 

2) Gk^ x Gk c modp 

Lorsque l'on a, comme l'exemple qui vient d'etre 

donne deux puissances, on effectue en moyenne environ 
20 3n/4 multiplications au lieu de n multiplications* La 

gain est de 25%; 

Le procede selon 1' invention peut etre generalise a 

un plus grand nombre de combinaisons d'exposants. Cette 

generalisation peut en outre etre implantee selon deux 
25 modes de realisation illustres par les schemas 

fonctionnels donnes sur les figures 3 et 4 . 

Dans ce cas, 1' invention s' applique tout 

particulierement aux cas oQ l'on a besoin de generer 

un grand nombre de signatures. 
30 Selon le premier mode de realisation, on realise 

des combinaisons d'exposants deux par deux suivant une 

arborescence telle que representee par le tableau ci- 

dessous : 

k-i al a2 a3 a4 



15 
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k c bl = al.a2 b2 = a3.a4 

cl = bl.b2 

Ces combinaisons permettent tout comme I'exemple 
decrit precedemment, de fournir des exposants k c reflet 
des parties commune entre les exposants k j ° . 

Pour simplifier 1'ecriture, les exposants kj sont 

nommes a^, a 2 , a 3' a 4 # 

Les exposants k c sont nommes au niveau -1 de 
1'arbre, b^^ et b 2 et au niveau -2 de 1'arbre par c 1 . 

Les combinaisons a^.a2 , a2 . a^ sont realisees par 
une fonction logique ET. 

On reitere les combinaisons a chaque niveau de 
1'arbre ainsi const itue. le nombre de multiplications 
diminue au fur et a mesure que l'on s'enfonce dans 
1'arbre du fait de la simple repartition statist ique 
des bits. L' effort de calcul a realiser est minore par 
n/3 multiplications . 

Comme cela a ete decrit precedemment , on determine 
des grandeurs G Jcc a chaque niveau. 

Ainsi on obtiendra : 

G al = g al ® bl modp 

G a2 = g a2 ® bl modp 

G bl = g bl modp 

G bl = g bl ® cl modp soit G bl = G bl ' G c 1 modp 
G b2 = g b2 ® cl modp soit G b2 = Gb2* Gc l mod P 
G cl = g cl modp 

G al modp= G a x x G h ± mod P = G a 1 xG b 1 x G c^^P 

En pratique, g al modp sera obtenu par le produit G a 1 
x G h 1 modp et g a2 modp sera obtenu par le produit G a 2 x 
^b-^x G cl modp. 



2734679 



16 



Selon un deuxieme mode de realisation on combine 
les exposants de maniere a former tous les sous- 
ensembles de combinaison possibles soit par exemple si 
1'on a comme exposant kj : a, b, c, on formera les 
5 combinaisons ab, ac, be, abc. 

On realise done des combinaisons permettant de 
definir les parties communes relatives a ces sous- 
ensembles en operant une fonction logique ET entre a et 
b, a et c, b et c et a, b, c. On definit ainsi un 
10 exposant k c pour chaque sous-ensemble obtenu. 

On peut calculer en parallele toutes les grandeurs 
G kc = 9 ^ c modp pour lesquelles k c ont peu de bits a 1 
par rapport aux k initiaux et done pour lesquelles le 
calcul modulaire est rapide. 
15 Puis on effectue un autre - type de combinaison 

consistant a eliminer les parties communes entre un 
exposant et les combinaisons precedentes. 

Ces combinaisons sont realisees au moyen de 
f onctions logiques OU-exclusif . Ainsi , on obtient 
20 suivant 1' exemple donne : 

ka = a xor abc xor ac xor ab 

kb = b xor abc xor ab xor be 

kc = c xor abc xor ac xor be 

On peut ensuite calculer des grandeurs G k /j = g k J 
25 modp pour lesquelles les k'j ont encore moins de bits a 
1 que les k c initiaux et pour lesquelles les 
modifications modulaires sont encore plus rapides. 

Pour finir les expressions g^Jmodp sont obtenues 
par k j . 

30 Dans le cas de la generation de N signatures 

obtenues par ce deuxieme mode de realisation , 1' effort 
de calcul tendra vers 

n/N carres + n(2 N -l)/N2 N + (2 N_1 -1) multiplications. 
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Le tableau qui suit permet de donner des resultats 
de comparaisons avec les methodes connues telles que le 
carre-multiplie, le carre mutliplie en parallele et 
1' invention. 

5 



Methodes 

Temps de 
effort 


Carre 
multiplie 


Carre 
muliplie 
parallele 


Combinaison 
d'exposant 
arbre 
binaire 


Carres 


N(n-l) 


n-1 


n-l 


Multiplication 


N(n/2-l) 


N(n/2-l) 


Nn/3 


TOTAL 


N(3n/2-2) 


N(n/2-l) +n-l 


Nn/3+n-l 


Effort pour N»n 


100% 


33% 


22% 



15 

Le premier mode de realisation donne (regroupement 
arborescent) dans le cas de 1' application a la 
generation de N signatures est peu cotiteuse en place 
memo ire. 

20 Pour un arbre binaire a 4 exposant on aura besoin 

de 8 registres de log 2 (p) bits pour les calculs. 

Le deuxieme mode de realisation donne (N 
regroupements) est tres peu coQteux en temps de calcul 
car elle est optimale en nombre de multiplication. Pour 

25 3 exposants on aura besoin de 8 registres de log 2 (p) 
bits pour les calculs. 
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REVEND I CAT I ONS 

1. Precede de cryptographie a cle publique base sur 
le logarithme discret faisant" intervenir le calcul de 
la grandeur g k modp ou p est un nombre premier appele 
module, k un nombre aleatoire habituellement de 

5 longueur n bits et g un entier appele base, dans lequel 
une entite E realise des operations d'authentif ication 
et/ou de signature et/ou de chiffrement, comprenant des 
echanges de signaux avec une autre entite dans lesquels 
intervient cette grandeur, caracterise en ce qu'il 

10 comporte les etapes suivantes pour 1' entite: 

- generer un exposant k aleatoire de longueur N 
bits, N etant egal a n+b bits, 

- calculer le poids de Hamming C de cet exposant et 
le comparer a une valeur h fixee au prealable, 

15 - verifier si la valeur aleatoire k remplit la 

condition: C > h 

- rejeter la valeur aleatoire k dans le cas ou le 
poids de Hamming est inferieur de h et recommander la 
generation de nouveaux exposants jusqu'a obtention d'un 

20 exposant satisfaisant cette condition, 

- ou conserver cette valeur dans le cas contraire, 

- calculer 1' expression g k modp a partir de la 
valeur conservee, 

- utiliser cette expression dans les echanges de 
25 signaux avec 1' autre entite. 

2. Procede selon la revendication 1, caracterise en 
ce que la condition a remplir est c = h. 

30 3. Procede de cryptographie a cle publique base sur 

le logarithme discret faisant intervenir le calcul de 
la grandeur g^modp ou p est un nombre premier appele 
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module, k un nombre aleatoire habituellement die 
longueur n bits et g un entier appele base, dans lequel 
une entite E realise des operations d ' authentif ication 
et/ou de signature et/ou de chiffrement, comprenant des 
5 echanges de signaux avec une autre entite dans lesquels 
intervient cette grandeur, caracterise en ce qu'il 
comporte les etapes suivantes : 

- generer un ensemble d' exposants aleatoires kj de 
n bits de poids a^ s'exprimant par 1' expression 

10 kj =Za i 2 i 

- calculer en parallele les puissance de g2 1 tout en 
combinant les exposants de sorte que les puissances de 
g calculees pour un exposant servent a d'autres 
exposants dans lesquels elles interviennent , 

15 - pour chaque kj donne, calculer les puissances de 

g non encore calculees et regrouper toutes ces 
puissances pour obtenir 1' expression gkjinodp desiree, 

- utiliser ces expressions dans un echange de 
signaux avec 1' autre entite. 

20 

4, Procede selon la revendication 3, caracterise en 
ce que : 

les etapes de calcul en parallele et de 
regroupement comportent les operations suivantes : 
25 - combiner les exposants deux par deux pour obtenir 

des exposants k c reflet de leur parties communes et 
reiterer les combinaisons sur le resultat de 
combinaison obtenu, 

- calculer les grandeurs G kc pour chaque valeur de 
30 k c telle que : 

G kc = g kc modp 

- combiner un exposant kj a 1' exposant k c obtenu 
pour la combinaison a laquelle cet exposant appartient 



20 
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de maniere a eliminer les parties communes et ne 
conserver que les parties differentes, 

- definir des exposants k,j reflet des parties 
differentes entre un exposant kj donne et un exposant 

5 k c donne , 

- calculer des grandeurs G k ,j telles que : 

G^/j = gmodp 

- determiner les expressions G^jinodp en operant des 
multiplications entre les grandeurs G kc obtenues a 

10 chaque iteration . 

5. Procede selon la revendication 3, caracterise en 
ce que les etapes de calcul en parallele et de 
regroupement comportent les operations suivantes : 
15 - combiner les exposants entre-eux de maniere a 

former tous les sous-ensembles de combinaisons 
possibles d' exposants possedant des parties communes, 

- definir des exposants k c reflet des parties 
communes, pour chaque sous-ensemble de combinaison tels 

20 que les bits non-nuls de poids donne correspondent aux 
bits non-nuls de meme poids de la combinaison 
consideree, 

- calculee des grandeurs G kc pour chaque valeur de 
k c telles que : G^^ g kc modp 

25 - combiner chaque exposant kj avec tous les 

exposants k c obtenus pour chaque sous-ensemble de 
combinaison auquel cet exposant kj appartient de 
maniere a eliminer les parties communes et ne conserver 
que les parties differentes, 

30 - definir des exposants k'j reflet des parties 

differentes entre un exposant kj donne et un exposant 
k c donne, 

- calculer des grandeurs G^/j telles que : 

G k , j=g k ' jmodp 
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- determiner les expressions g^Jmodp en operant une 
multiplication entre les grandeurs G'^j et Gj^ pour 
chaque k j . 



10 
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The public key cryptographic method generates a 
random exponent k of length N bits. The Hamming 
weights C of the exponent are computed and compared 
to a pre-set value h to determine whether the random 
value k produces Hamming weights greater than the 
pre-set value. If it does not the exponent k is 
rejected and a new random exponent is generated and 
tested . 



A value k that generates satisfactory Hamming 
weights is retained, and used to compute the 
expression y = gx(modp), where g is an integer base 
and p the modulus, and x is unknown. This expression 
is then used the exchanges of information with the 
other entity in the communication. 



USE - Public key encryption for digital signatures 
and session authentication for smart cards. 



ADVANTAGE - Simple encryption and decryption 
computations, giving short computation time and 
requiring only small amount of memory. 
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